SEC Consult , europejska firma zajmująca się doradztwem w sprawach bezpieczeństwa IT, przez ostatnie lata skupiała się głównie na badaniu urządzeń podłączonych do internetu. Znakomitą większość z nich, można traktować jako luksusowe produkty przynależące do Internetu Rzeczy (IoT) , a więc np. mini komputery wbudowane w urządzenia gospodarstwa domowego. SEC Consult zbadało tysiące tego typu urządzeń od ponad 70 producentów, m.in. bramki internetowe, routery, modemy, kamery IP czy telefony VoIP. Szczególną uwagę badaczy przykuł fakt, że w przypadku tego typu urządzeń wysoka cena nie zawsze szła w parze z jakością. Niejednokrotnie spotkali się oni z produktem, którego ochrona była równie wątpliwa co jakość, a cena nazbyt wygórowana i nieadekwatna do standardu.
Podczas przeprowadzonych badań pod uwagę wzięto dwa podejścia:
- Analizę obrazów firmware dla treści o charakterze kryptograficznym (obecnie wiele urządzeń opartych jest na systemie Linux, dlatego firmware i jego kod źródłowy powinny mieć charakter publiczny).
- Przeprowadzenie skanowania Internetu dla zbadania urządzeń, które są do niego podłączone (to nie jest hacking, tylko poszukiwanie usług jawnie dostępnych od publicznej strony sieci).
Najczęściej poszukiwanymi przez SEC Consult elementami były klucze kryptograficzne dla protokołów SSH (Secure Shell) i TLS (Transport Lawyer Security) . SSH zwykle używane jest w celu zabezpieczenia logowania zdalnego oraz kopiowania plików, natomiast TLS do zabezpieczenia ruchu w sieci przy pomocy HTTPS. Oba protokoły używają tzw. kryptografii klucza publicznego, w której serwer podczas instalacji lub przy pierwszym uruchomieniu generuje specjalną parę kluczy:
- Klucz publiczny, który wykorzystywany jest w celu zablokowania transakcji do i z serwera.
- Klucz prywatny, który służy do odblokowania danych uprzednio zamkniętych kluczem publicznym.
Posiadając oba klucze tego typu, nie trzeba dzielić się kluczem prywatnym z kimkolwiek innym, aż do momentu rozpoczęcia komunikacji. Może to uchronić przed udostępnieniem danych potencjalnemu cyber-oszustowi. Istotą systemu opierającego się na tych dwóch kluczach jest utrzymanie klucza prywatnego prywatnym, stąd też jego nazwa. Podsumowując, dostęp do niego powinien mieć tylko użytkownik serwera. Tylko w ten sposób może zapewnić on bezpieczeństwo sobie i innym użytkownikom. Należy również pamiętać o tym, że nigdy nie powinno się udostępniać swoich danych innym osobom. Jeśli klucz prywatny kiedykolwiek wpadnie w niepowołane ręce, może posłużyć do stworzenia nieprawdziwej strony. Tym samym cyber-oszust może wprowadzić w błąd innych użytkowników, podając się za właściciela strony. Ponadto możliwe jest przechwycenie komunikacji pomiędzy właścicielem klucza a innymi użytkownikami oraz późniejsze rozszyfrowanie ruchu. Nieostrożne użytkowanie klucza może przysporzyć użytkownikowi wiele problemów, porównywalnych do tych, wywołanych podrobieniem osobistego podpisu. Cyber-oszust, używając sygnetu użytkownika, może w jego imieniu podpisać fałszywy dokument, a nawet otworzyć zamknięte bądź dawno wysłane pliki, a następnie wysłać je w uszczelniony sposób, tak, że odbiorca informacji nie rozpozna różnicy. Można by przypuszczać, że każdy dostawca urządzeń z wbudowanym kluczem prywatnym potraktuje sprawę na tyle poważnie, że jeden klucz wygenerowany losowo zostanie przypisany do jednego urządzenia, ale:
SEC Consult dotarło do niepokojących danych:
- 3,2 miliony urządzeń korzystało z jednego ze 150 różnych prywatnych kluczy TLS
- 0,9 miliona urządzeń korzystało z jednego z 80 różnych prywatnych kluczy SSH
Można zatem przyjąć, że każdy cyber-oszust posiada już 230 cyfrowych sygnetów, które gotowy jest użyć w dogodnym dla niego momencie. Ponadto, SEC Consult podkreśla, że znakomita większość ze wszystkich analizowanych urządzeń miała być dostępna przy użyciu protokołów SSH lub TLS. W przypadku większości sieci, dostęp do administracji powinien być zarezerwowany tylko dla użytkowników sieci wewnętrznej, może to spowodować zmniejszenie liczby urządzeń, z których cyber-oszust będzie próbować nawiązać połączenie.
Co zrobić podczas tworzenia firmware dla urządzeń wbudowanych?
- Nie należy udostępniać, ani ponownie używać klucza prywatnego. Do plików firmware wygenerowanych dla każdego urządzenia, powinno się dostosowywać klucze, które wolno użyć tylko jeden raz. Lepiej nie polegać na losowym doborze klucza podczas pierwszego uruchomienia systemu, najprawdopodobniej są one takie same na każdym routerze.
- Zdalna administracja nie powinna być ustawiona jako funkcja domyślna.
- Nie należy zezwalać użytkownikom na instalację nowych urządzeń, dopóki nie ustawią sobie wszystkich niezbędnych haseł. Najlepiej zrezygnować ze wszystkich haseł domyślnych - każdy cyber-oszust ma ich listę.
W przypadku korzystania z urządzeń wbudowanych:
- Należy ustawić odpowiednie hasła zanim urządzenie zostanie podłączone do Internetu.
- Zdalną administrację powinno się uruchamiać tylko w wyjątkowych sytuacjach. W celu zmniejszenia ryzyka stwarzanego przez potencjalnie skradzione hasła, warto wziąć pod uwagę uwierzytelnianie dwuskładnikowe dla użytkowników zewnętrznych.
- Należy sprawdzać ustawienia dostępu zdalnego. Korzystanie z narzędzia służącego do diagnostyki sieci np. nmap, zapewni pełną kontrolę i bezpieczeństwo podczas korzystania z sieci internetowej. Systematyczne skanowanie własnej sieci może uchronić system przed potencjalnymi błędami bezpieczeństwa.
- Warto regularnie powtarzać generowanie kluczy kryptograficznych, jest to doskonały sposób na pozbycie się niskiej jakości kluczy dziedziczonych domyślnie.
